「2010年は“暗黒の雲”が押し寄せる。セキュリティは一致団結を」、RSA山野社長

　RSAセキュリティ株式会社は1月8日、セキュリティに関する記者説明会を開催。代表取締役社長の山野修氏が登壇し、セキュリティ市場の変化と2010年の見通しについて説明した。

■エコシステム化が求められるセキュリティ

代表取締役社長の山野修氏

　セキュリティの状況は刻々と変化している。以前は外部からの脅威に気を払えば良かったが、最近では、ワークスタイルの変化で外出先での仕事が日常化し、クラウドなどにより情報の所在も企業内にとどまらない。こうした状況で重要なのは、アウトバウンドセキュリティだと山野氏は語る。「データが既定の枠を超えてさまざまにやり取りされるため、内部からの情報漏えいはその気になればたやすい。それを防止するすべが必要だ」というのだ。

　この考え方は、突き詰めると「情報中心型セキュリティ」に行き着く。事故を防ぐためには、「境界」ではなく「情報そのもの」を監視し、保護しなくてはならない。RSAセキュリティではこうした課題に、認証、暗号化、DLPなどのソリューションを提供するが、しかし、企業における最大の課題は「現存するリスクをしっかり把握できていないことだ」と山野氏は指摘する。

　情報がどこに、どのように保管され、どのような対策が施されているのか。足りない点は何か。情報を守るためには、それらを詳細に把握する必要がある。だが、外部からの脅威に対抗するところから始まったセキュリティは、そういう観点を端緒にしていない。そのため、リスクを十分に把握できている企業は少ないというのだ。

　セキュリティは、アンチウイルスやファイアウォールから幕を開け、その後、IPS、UTM、認証、アクセス制限など、急変する脅威に合わせて次々と“継ぎはぎ”されていった。これも大きな問題だと山野氏は語る。「ポイントソリューションがバラバラに発展した結果、対策は分散し、非効率で高コストなものへとなってしまった」。それを解決するために「今後、ベンダー各社は連携し、透過的なエコシステムを構築していく必要がある」という。

セキュリティのエコシステム

　セキュリティのエコシステムは、米RSA プレジデントのアート・コビエロ氏が再三訴えてきたことでもある。セキュリティを「アイデンティティ」「インフラ」「情報」に分類し、それぞれに最適な技術を、一元的なポリシーでコントロール。企業の枠を超えた技術連携で防御を自動化し、すべてを包括する統合ログ管理で監査のサイクルを回していく。

　その重要性を山野氏もあらためて強調。事実、RSAは他ベンダーとの連携を積極的に進めている。ともに米EMC傘下で兄弟関係にある米VMwareとは、仮想インフラにセキュリティを組み込むべく密な連携を行っているし、EMCのストレージにもセキュリティが標準実装されるようになっている。ほかにも、米MicrosoftのIRM（Information Rights Management）製品や、米Ciscoのネットワーク製品へDLP（情報漏えい防止）技術を提供している。インフラそのものにセキュリティを組み込んでいくことが重要と考え、「従来のようにインフラに対策を追加していく“Bolt-on”ではなく、インフラに最初から組み込まれた“Built-in”である必要がある。セキュリティは今後、目に見えるものではなく、インフラの奥深くで透過的に作動するものへと変ぼうしていくはずだ」（同氏）としている。

■仮想化、クラウド時代のセキュリティは？

　一方、仮想化、クラウド環境においては、セキュリティの課題も可能性も新たなものとなる。仮想化はさまざまなビジネス上の利点を生み出す一方、インフラが動的に変化するため、データはより流動的に処理される。こうした中、セキュリティ上の最大の懸念は、インフラの管理者をいかに把握するかだ。マーケティング統括本部 部長の宮園充氏によれば「仮想マシンは容易に作成できる。その特権者をいかに監視するか。認証、アクセス制限、アクティブなログ管理、DLPなどをより柔軟に対応させなければいけない」。一方で、「統合されることで脆弱点が集約され、コントロールしやすくなる」（同氏）というメリットもある。

　同じようにクラウドに関してもセキュリティを再考する必要がある。「クラウドにおける最適なセキュリティとは？」「クラウドをうまく活用したセキュリティとは？」――すなわち、Security as a Serviceを考える必要があるという。しかし、この点に関しては「むしろ犯罪者の方が一歩先んじている」と山野氏は語る。

　ボットネットは犯罪用のクラウドのようなものだ。最近では新たにボットネットを構築する必要はなく、既存のものを犯罪組織で売買して使い回す「Fraud as a Service（FaaS）」が確立しているという。米国ではすでに「Dark Cloud（暗黒のクラウド）」なる言葉も生まれ、詐称した名前、盗んだカード情報などでAmazon EC2などのクラウドと契約し、その環境を使って犯罪が行われるという事態も起きている。山野氏は「今まで犯罪者がいくら隠そうとも、その顔や存在はどこかで見えるものだったが、Dark Cloudにより完全に姿をくらますことが可能になってしまった」と問題視している。

　インターネット上での犯罪は、2008年比で10倍に拡大したマルウェアの感染などが大きな問題だが、それ以外にも、「MITB（Man in the Browser）攻撃」による金銭搾取なども発生している。これはPCに仕込んだマルウェアにより、エンドユーザーがオンラインバンキングへログインするのを監視し、気づかぬうちにセッションをハイジャック。送金先をまったく別の口座に変更してしまう、といった手口だ。ここでも、盗み取ったユーザーのクレデンシャルの一時保管先として、クラウド上の蓄積場所などが利用されている。

　「2010年はこうしたオンライン犯罪がより深化し、FaaSがますます台頭するだろう。同時に内部犯行による個人情報はさらに大きな社会問題となる。こうした脅威に対して、Security as a Serviceが大きな話題になるだろう」（山野氏）。

　RSAセキュリティはオンライン犯罪防止サービス「FraudAction」にて、フィッシング対策サービス「Anti-Phishing Service」やトロイの木馬対策サービス「Anti-Trojan Service」などを提供している。また情報漏えい対策として、ワンタイムパスワード「SecurID」、シングルサインオン「Access Manager」、統合ログ管理「enVision」なども提供している。2010年の戦略としては、「こうした商材、あるいは他社提携により、セキュリティ市場の変化に対応したソリューションを展開・拡大していく。また、オンライン犯罪や情報漏えい事件の発生時の駆け込み寺となれるよう努力する」（山野氏）としている。